Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA NORMATIVA

Trattamento dati con finalità di archiviazione nel pubblico interesse: regole di conformità

Il GDPR ha introdotto interessanti novità che incidono in modo significativo su quei soggetti, pubblici o privati, che a diverso titolo svolgono trattamento dati con finalità di archiviazione nel pubblico interesse. Ecco la disciplina applicabile in Italia agli archivi pubblici e privati e le regole di conformità

11 Feb 2020
S
Daniele Sborlini

Avvocato - IT Law Firm - Studio Legale Cunegatti Di Cocco e Associati

T
Adriano Tribulato

Avvocato - IT Law Firm - Studio Legale Cunegatti Di Cocco e Associati


Il Regolamento (UE) 2016/679 (GDPR) ha introdotto alcune interessanti novità nella disciplina in materia di trattamento dei dati personali che incidono in modo significativo su quei soggetti, pubblici o privati, che a diverso titolo svolgono trattamento dei dati con finalità di archiviazione nel pubblico interesse e quindi attività di conservazione, tutela e valorizzazione del patrimonio archivistico in Italia.

Esaminando, innanzitutto, il quadro giuridico di riferimento, esso appare fin da subito alquanto articolato e così composto:

  • il Regolamento (UE) 2016/679 (GDPR);
  • il Codice in materia di protezione dei dati personali (D.lgs. n. 196/2003, modificato dal D.lgs. n. 101/2018), che dedica il titolo VII ai trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  • il Codice dei beni culturali (D.lgs. n. 42/2004);
  • le Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica emanate dal Garante privacy (registro dei provvedimenti n. 513 del 19 dicembre 2018, pubblicate in Gazzetta ufficiale n. 12 del 15 gennaio 2019).

La definizione di archiviazione nel pubblico interesse

Uno dei primi interrogativi che gli operatori del settore si sono posti a seguito dell’entrata in vigore del GDPR riguarda la portata applicativa della locuzione “archiviazione nel pubblico interesse”, più volte richiamata nel testo normativo, ma non ricompresa tra le definizioni di cui all’art. 4 del GDPR.

Comprendere quali soggetti svolgano attività di trattamento riconducibili nell’ambito di tale definizione non è questione di poco conto se consideriamo che il legislatore europeo ha introdotto nel GDPR molteplici deroghe alla disciplina generale, tese a favorire, o comunque a non rendere gravosa per i titolari del trattamento l’attività di archiviazione svolta nel pubblico interesse.

A tal riguardo, il Considerando 158 spiega che all’interno di questa definizione vanno ricomprese le attività di trattamento svolte da tutti quei soggetti che, in base al diritto dell’Unione o degli Stati membri, hanno l’obbligo legale di acquisire, conservare, valutare, organizzare, descrivere, comunicare, promuovere, diffondere e fornire accesso agli archivi[1] con un valore a lungo termine per l’interesse pubblico generale.

Dal tenore del considerando si evince innanzitutto che ciò che rileva non è la natura, pubblica o privata, del soggetto che svolge attività di archiviazione, ma la sussistenza di una norma che attribuisca a tale soggetto il compito di svolgere attività di archiviazione per finalità di interesse pubblico.

Il legislatore europeo rimette pertanto agli Stati membri la scelta di determinare quali siano gli archivi che possono essere ricompresi in tale definizione. Se da un lato pochi dubbi vi sono sul fatto che gli archivi di stato e, in generale, gli archivi storici degli enti pubblici svolgano archiviazione nel pubblico interesse e possano conseguentemente essere ricompresi nella definizione sopra esaminata, maggiori dubbi viceversa sussisterebbero in relazione agli archivi privati.

Sul punto, il Garante italiano ha in varie occasioni avuto modo di chiarire che, per rientrare nella definizione sopra citata, non devono necessariamente sussistere contemporaneamente in capo al soggetto che svolge attività di archiviazione tutti gli obblighi di legge citati dal considerando. Anche nel caso in cui la legge attribuisca solo alcuni di essi al titolare del trattamento sarà pertanto possibile ritenere sussistente lo svolgimento di un’attività di archiviazione nel pubblico interesse.

A ciò si aggiunga che l’art. 2-sexies del novellato Codice della privacy – nel disciplinare i casi in cui il trattamento di categorie particolari di dati personali si considera legittimo in quanto necessario per motivi di interesse pubblico rilevante ai sensi dell’art. 9, par. 2, lett. g) del GDPR – ricomprende al par. 2 lettera cc) tra i soggetti che svolgono attività di trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici anche gli archivi privati dichiarati di interesse storico particolarmente importante.

Ne consegue che anche gli archivi privati dichiarati di interesse culturale ex art. 13 del Codice dei beni culturali (D.lgs. n. 42/2004) devono ritenersi compresi nella suddetta definizione. La dichiarazione di interesse culturale, infatti, produce effetti sulla situazione del privato che sia proprietario, possessore o detentore della documentazione, in quanto lo assoggetta agli obblighi connessi al regime vincolistico in materia di protezione, conservazione, circolazione e fruizione dei beni culturali.

Archiviazione nel pubblico interesse: le deroghe nel GDPR

Chiarita la portata applicativa della definizione di archiviazione nel pubblico interesse, è possibile esaminare le specifiche deroghe previste dal legislatore europeo per i trattamenti di dati svolti per tale finalità.

La prima norma del GDPR all’interno della quale si rilevano delle deroghe specifiche per i trattamenti di dati personali a fini di archiviazione nel pubblico interesse è l’art. 5, che detta i principi generali applicabili a tutti i trattamenti di dati personali.

La lettera b) della suddetta norma, nel sancire il principio di limitazione della finalità[2] aggiunge che un trattamento di dati personali ulteriore e per finalità diverse da quelle per le quali i dati personali sono stati inizialmente raccolti, se svolto ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, non può ritenersi incompatibile con le finalità iniziali.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Alla lettera e) dell’art. 5 è invece espressamente derogato il principio di limitazione della conservazione[3], riconoscendo che i dati personali, una volta conseguite le finalità per cui sono trattati, possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Sul punto si è espresso chiaramente anche il legislatore italiano, che all’art. 99 del novellato Codice della privacy sancisce che il trattamento di dati personali a fini di archiviazione nel pubblico interesse può essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati[4].

La norma cardine contenuta nel GDPR cui occorre fare riferimento nel trattare i dati con finalità di archiviazione nel pubblico interesse è indubbiamente l’art. 89, rubricato appunto “Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici”, che al paragrafo 1 fornisce specifiche indicazioni circa le modalità di trattamento.

Detto trattamento dovrà essere svolto previa predisposizione di misure tecniche e organizzative adeguate ad assicurare il rispetto di diritti e libertà degli interessati e a garantire, in particolare, il rispetto del principio di minimizzazione dei dati. Nel caso degli archivi, peraltro, il rispetto del principio di minimizzazione dei dati passa innanzitutto attraverso l’adozione di piani di conservazione finalizzati alla definizione dei criteri di organizzazione dell’archivio, di selezione periodica e di conservazione dei documenti.

Tali misure di sicurezza possono inoltre includere la pseudonimizzazione dei dati, ma solo qualora le finalità possano comunque essere conseguite in tal modo. Sul punto le linee guida rilasciate dall’EAG (European Archives Group) nell’ottobre del 2018 per orientare gli archivi nell’applicazione del GDPR, suggeriscono di adottare procedure di pseudonimizzazione pienamente reversibili ed effettuate in modo tale da non mettere a rischio il valore di prova dei documenti d’archivio.

Quanto alle deroghe, l’art. 89, paragrafo 2 rimette agli Stati membri la facoltà di prevedere deroghe all’applicazione delle norme sui diritti degli interessati di cui agli articoli 15 (diritto di accesso), 16 (diritto di rettifica), 18 (diritto di limitazione del trattamento), 19 (obbligo di notifica in caso di rettifica o cancellazione dei dati o limitazione del trattamento), 20 (diritto alla portabilità dei dati) e 21 (diritto di opposizione).

Le deroghe all’applicazione di tali diritti, tuttavia, non potranno essere assolute. I diritti degli interessati sono comprimibili, fatte salve le condizioni e le garanzie di cui al paragrafo 1 dell’art. 89, esclusivamente nella misura in cui tali diritti rischino di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità specifiche e a condizione che tali deroghe siano necessarie al conseguimento di dette finalità.

Come si evince dalla lettura della norma, mancherebbe tra le deroghe quella all’art. 17 (diritto alla cancellazione), che tuttavia prevede esso stesso al par. 3, lett. d) una deroga alla sua applicazione per i trattamenti necessari ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Anche in questo caso, non si tratta di una deroga assoluta perché la norma specifica che la deroga all’esercizio del diritto alla cancellazione è possibile nella misura in cui il l’esercizio di tale diritto rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento, e sempre a condizione che il trattamento sia svolto conformemente all’articolo 89, paragrafo 1.

Una ulteriore deroga alla disciplina generale è prevista all’art. 14, in relazione alle informazioni da fornire agli interessati qualora i dati personali non siano stati ottenuti direttamente da costoro.

Sul punto è bene evidenziare che tipicamente gli archivi non acquisiscono direttamente presso gli interessati i dati personali trattati, ma conservano dati inizialmente acquisiti e trattati da altri soggetti per scopi diversi.

La deroga di cui all’art. 14, par. 5, lett. b) stabilisce che l’obbligo di fornire l’informativa non si applica laddove rischi di rendere impossibile o di pregiudicare gravemente il conseguimento della finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

In tali casi, prevede la norma, il titolare del trattamento adotta comunque le misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato anche, laddove possibile, rendendo pubbliche le informazioni sul trattamento in corso attraverso, ad esempio, la pubblicazione sul sito web dell’informativa privacy.

La deroga in questione è di non poco rilievo se consideriamo che solitamente gli archivi acquisiscono e conservano dati personali relativi a un numero indefinito di soggetti o senza neanche conoscere l’identità di questi, il che renderebbe eccessivamente gravoso o, in alcuni casi, persino impossibile informare gli interessati riguardo a tali trattamenti.

Dati personali di persone decedute

Un ulteriore aspetto da tenere in considerazione nell’esame della disciplina applicabile in Italia agli archivi concerne il trattamento dei dati personali delle persone decedute. Se da un lato i considerando 27 e 158 ci dicono che il GDPR non dovrebbe trovare applicazione in riferimento ai dati personali delle persone decedute, dall’altro il legislatore europeo ha riconosciuto la facoltà agli Stati membri di introdurre norme specifiche per il trattamento dei suddetti dati.

Così il legislatore italiano, all’art. 2-terdecies del novellato Codice della privacy, ha riconosciuto la possibilità, per chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione, di esercitare i diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali delle persone decedute.

Nel rispettare tale norma, gli archivisti potranno fare riferimento alle indicazioni contenute all’art. 7, comma 3 delle Regole deontologiche, laddove è previsto che in caso di esercizio di un diritto concernente persone decedute da parte di chi vi abbia interesse proprio o agisca a tutela dell’interessato, la sussistenza dell’interesse è valutata anche in riferimento al tempo trascorso.

Il trattamento dei dati sensibili e giudiziari

Quanto al trattamento delle categorie particolari di dati personali di cui all’art. 9 del GDPR, per i trattamenti svolti con finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, come in precedenza accennato, è stata prevista espressamente una autorizzazione dal novellato Codice della privacy, che all’art. 2-sexies riporta tra i trattamenti per i quali si considera rilevante l’interesse pubblico ai sensi dell’art. 9, par. 2 lett. g), anche i trattamenti svolti per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici effettuati in conformità dell’articolo 89, paragrafo 1.

Quanto al trattamento dei dati relativi a condanne penali e reati, come noto, l’art. 10 del GDPR dispone che questo possa avvenire soltanto sotto il controllo dell’autorità pubblica o se autorizzato dal diritto dell’Unione o degli Stati membri. L’art. 2-octies del Codice della privacy dispone a sua volta che, in assenza del controllo dell’autorità pubblica, il trattamento dei dati relativi a condanne penali o reati possa avvenire se autorizzato da una norma di legge o di regolamento o se espressamente autorizzato con decreto del Ministro della giustizia, da adottarsi sentito il Garante.

Ad oggi, tuttavia, mancano sia l’autorizzazione di legge (ovvero di regolamento) sia il decreto del Ministro della giustizia. Tale vuoto normativo rende particolarmente problematica l’attività di archiviazione nel pubblico interesse, che indubbiamente coinvolge molto di frequente dati personali riferibili a condanne penali e reati, e si auspica pertanto un rapido intervento sul punto da parte delle istituzioni competenti.

Archivi privati non riconosciuti: quali conseguenze?

Da ultimo, pare opportuno evidenziare che i soggetti privati (titolari del trattamento) che gestiscono archivi per i quali non sia intervenuta la dichiarazione di interesse culturale ex art. 13 del D. Lgs. 42/2004 (Codice dei beni culturali), ad oggi, non beneficerebbero del regime di favore previsto dal GDPR e dal Codice privacy per i trattamenti con finalità di archiviazione nel pubblico interesse.

Per costoro, in altre parole, la disciplina in materia di trattamento dei dati personali prevista dal GDPR si applica nella sua interezza, con tutte le conseguenze che ne derivano, ad esempio, in tema di esercizio dei diritti degli interessati, informativa privacy, tempo di conservazione dei dati, trattamento di categorie particolari di dati personali, eccetera.

Anche sotto tale ultimo profilo si auspica un intervento da parte delle istituzioni competenti che possa fornire indicazioni operative ai soggetti privati nell’ambito delle loro attività di archiviazione, in assenza delle quali un’applicazione rigida del GDPR rischierebbe di avere ripercussioni negative sulla funzioni di conservazione e valorizzazione degli archivi storici e sulle attività di ricerca storica e scientifica, il cui valore fondamentale è riconosciuto dallo stesso art. 9 della nostra Costituzione.

NOTE

  1. Il considerando 158 nella versione in italiano del Regolamento UE n. 2016/679 riporta in realtà il termine “registri” in luogo di archivi. Ciò, a causa di un grossolano errore di traduzione della voce “records” presente nella versione in inglese del GDPR. Il termine “records”, infatti, in tale contesto andava tradotto con l’espressione “documenti d’archivio” o semplicemente “archivi”.
  2. In base al quale i dati devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità.
  3. I dati devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati.
  4. La rilevanza delle suddette eccezioni ai principi di limitazione della finalità e di limitazione della conservazione è evidente se si considera come solitamente gli archivi acquisiscono i documenti in loro possesso: documenti nati per i più disparati scopi che solo in un secondo momento vengono destinati agli archivi. Le eccezioni sopra richiamate consentono pertanto di considerare, da un lato, compatibile con la disciplina privacy la subentrata finalità di archiviazione e, dall’altro, di conservare i documenti senza la necessità di cancellare i dati personali ivi contenuti.
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal

@RIPRODUZIONE RISERVATA

Articolo 1 di 5